 |
Основные принципы обеспечения информационной безопасности
|
|
|
|
Для защиты ИС, на основании руководящих документов гостехкомиссии, могут быть сформулированы следующие положения:
1) информационная безопасность ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов
2) ИБ обеспечивается комплексом инженерно-технических средств и поддерживающих их организационных мер
3) ИБ должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе и при проведении ремонтных и регламентных работ
4) Инженерно-технические средства защиты не должны существенно ухудшать функциональные характеристики ИС (надёжность, быстродействие, возможность изменения конфигурации)
5) Неотъемлемой частью работ по ИБ является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты
6) Защита ИС должна предусматривать контроль эффективности средств защиты, этот контроль может быть периодическим или выполняемым по необходимости.
Основные принципы обеспечения ИБ:
1. системности: предполагает необходимость учёта всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: а) при всех видах инф деятельности, б) во всех структурных элементах, в) при всех режимах функционирования, г) на всех этапах ЖЦ, д) с учётом взаимодействия объекта защиты с внешней средой. Система защиты должна стоится с учётом возможности появления принципиально новых путей реализации угроз ИБ.
2. принцип комплексности: предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие каналы реализации угроз и не содержащей слабых мест на стыках отдельных компонентов.
|
|
|
3. принцип непрерывности защиты: защита инф не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах ЖЦ (с самого начала стадии проектирования). Разработка системы защиты должна вестись должна вестись параллельно с разработкой самой ИС.
4. принцип разумной достаточности: предполагает выбор такого уровня защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
5. принцип гибкости системы защиты: предполагает возможность варьирования уровня защищённости ИС.
6. принцип открытости алгоритмов и механизмов защиты: предполагает, что защита не должна обеспечиваться только за счёт секретности, структурной организации и алгоритмов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления даже разработчиками. Принцип открытости алгоритмов и механизмов защиты не предполагает что информация о конкретной системе защиты должна быть общедоступна. Необходимо обеспечивать защиту от угрозы раскрытия параметров системы.
7. принцип простоты применения средств защиты: предполагает, что механизмы защиты должны быть интуитивно понятны и просты и использовании; применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат, при обычной работе законных пользователей.
Направления обеспечения информационной безопасности
1. Правовая защита; 2. Организационно методические мероприятия; 3. Инженерно технические средства.
Правовая защита
Правовая защита – это специальные законы, нормативные акты, правила и процедуры, мероприятия обеспечивающие защиту информации на правовом уровне.
|
|
|
Законы:
- Об информации, информатизации и защите информации. - Об участии в международном информационном обмене. - О связи. - Об авторском праве и смежных правах. - О государственной тайне. - О коммерческой тайне. - О правовой охране программ ЭВМ и топологии микросхем. - Об органах государственной безопасности. - Об архивах. - О патентах. - О страховании. - О создании гостех комиссии при президенте РФ.
Коммерческая тайна – не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.
ГОСТы:
- ГОСТ 29.339-92 «Информационная технология. Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке»
- ГОСТ-Р 50.752 «Защита информации от утечки за счёт побочного электромагнитного излучения и наводок при её обработке средствами ВТ. Методы испытаний.»
- «Нормы эффективности защиты АСУ и ЭВМ от утечки информации за счёт побочных электромагнитных излучений и наводок.»
- ГОСТ 50.739-95 «Средства ВТ. Защита от несанкционированного доступа к информации.»
- ГОСТ 28.147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования.»
- ГОСТ-Р 34.10-94 «Процедуры выработки и проверки электронной подписи на базе ассиметрического криптографического алгоритма.»
- ГОСТ-Р.В 50.170-92 «Противодействие инженерно-технической разведке. Термины и определения.»
Правовые меры обеспечения безопасности являются основой порядка деятельности и поведения сотрудников предприятия и определяют меры их ответственности за нарушение установленных норм.
7. Организационная защита
Это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерный доступ к конфиденциальной информации и проявление внутренних и внешних угроз.
Организационные меры:
- организация охраны и режима: При создании охраны и режима необходимо предусмотреть необходимость создания специальных производственных зон для работы с конфиденциальной информацией.
|
|
|
- организация работы сотрудников: Включает в себя подбор и расстановку персонала, обучение его правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение защиты информации на предприятии.
- организационная работа с документами, документированной информацией и их носителями: Сюда относится организация разработки и использования документов и их носителей, их учёт, использование, возврат, хранение и уничтожение.
- организация использования технических средств сбора, обработки, накопления и хранения информации.
- организация работ по анализу внутренних и внешних угроз и выработки мер по защите.
- организация работ по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учёта, хранения и уничтожения документов и технических средств.
Всю организационную работу по защите информации должна проводить специально выделенная в составе предприятия служба безопасности. Подчиняется служба безопасности непосредственно руководителю предприятия.
Организационно служба безопасности должна состоять из: подразделения режима и охраны, подразделения обработки документов конфиденциального характера, инженерно-технического подразделения, информационно-аналитического подразделения.
К основным документам которые должны разработать служба безопасности на любом предприятии:
Положение о сохранении конфиденциальности информации; Перечень сведений составляющих конфиденциальную информацию; Инструкция о порядке допуска сотрудников к сведениям составляющих конфиденциальную информацию; Положение о специальном делопроизводстве и документообороте; Перечень сведений разрешённых к опубликованию в открытой печати; Обязательство сотрудника о сохранении конфиденциальности информации; Памятка сотруднику о сохранении коммерческой тайны.
|
|
|
